活跃的Kthmimu挖矿木马分析

2022-05-31 6,027
点击上方"蓝字"
关注我们吧!


01
概述


自2022年三月以来,安天CERT陆续捕获到Kthmimu挖矿木马攻击样本,该木马主要通过Log4j 2漏洞进行传播。自Log4j 2漏洞曝光后,该木马挖矿活动较为活跃,同时向Windows与Linux双平台传播恶意脚本,下载门罗币挖矿程序进行挖矿。


该挖矿木马在Windows平台上使用PowerShell脚本下载并执行门罗币开源挖矿程序XMRig。除此之外,该脚本还具有创建计划任务持久化、判断系统用户包含关键字符串和创建计划任务等功能。在Linux平台上,木马使用Shell脚本下载挖矿程序,并且该脚本还会清除竞品挖矿程序、下载其它脚本和创建计划任务等功能。


02
事件对应的ATT&CK映射图谱

攻击者针对目标系统投放挖矿木马,梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。


图2‑1 事件对应的ATT&CK映射图谱


攻击者使用的技术点如下表所示:


表2‑1 事件对应的ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

侦察

主动扫描

扫描log4j 2漏洞

初始访问

利用面向公众的应用程序

利用Java等面向公众的应用程序

执行

利用命令和脚本解释器

使用PowerShell和Shell脚本

利用Windows管理规范(WMI)

删除现有WMI类的实例

持久化

利用计划任务/工作

设置计划任务

防御规避

混淆文件或信息

使用Base64进行混淆

发现

发现系统所有者/用户

判断系统用户名

发现进程

发现竞品进程

影响

资源劫持

利用系统CPU资源



03
攻击流程和传播途径


3.1 攻击流程


Kthmimu挖矿木马在Windows平台中使用名为“lr.ps1”的PowerShell脚本执行主要功能,具体功能为下载挖矿程序和配置文件,删除现有Windows Management Instrumentation (WMI)类的实例,判断系统用户名中是否包含“SYSTEM”字符串,如果包含,使用PowerShell命令下载字符串,执行后续指令。如果不包含“SYSTEM”字符串,创建名为“log4”的计划任务,每隔5分钟重复一次。结束竞品进程程序,下载开源门罗币挖矿程序XMRig和配置文件并执行。在Linux平台中使用名为“lr.sh”的Shell脚本执行主要功能,具体功能为下载并执行挖矿程序、结束竞品挖矿程序和创建计划任务等。


图3‑1 攻击流程


3.2 传播途径


攻击者使用Log4j 2漏洞进行传播攻击脚本,以下是Windows和Linux双平台Log4j 2漏洞利用代码。


图3‑2 下载lr.ps1


图3‑3 下载lr.sh


3.3 攻击事件样本整理


根据攻击事件对样本进行梳理得到如下信息:


表3‑1 攻击事件样本整理

样本下载地址

详细说明

hxxp[:]//14.55.65.217:8080/a/x.exe

Windows门罗币挖矿程序

hxxp[:]//14.55.65.217:8080/a/lr.ps1

Windows恶意PowerShell

hxxp[:]//14.55.65.217:8080/a/config.json

门罗币挖矿配置文件

hxxp[:]//14.55.65.217:8080/a/x.rar

Linux门罗币挖矿程序

hxxp[:]//14.55.65.217:8080/a/lr.sh

Linux恶意Shell

hxxp[:]//14.55.65.217:8080/a/apache.sh

Linux恶意Shell


表3‑2 挖矿脚本中的矿池地址和钱包地址

矿池地址

钱包地址

91.121.140.167:80

45tdM15BthJWCKScmdxF9nGKfnZJpV8jK3ZmBDUofM5fdzoXURTrb9QQeCwiNXHyvibVFqtxeWwx57FnCqL4Z3y4S4G2tTy

pool.supportxmr.com:80


根据矿池地址记录,目前,该钱包现在平均算力约170KH/s。


图3‑4 挖矿算力



04
防护建议


针对非法挖矿,建议企业采取如下防护措施:


1.安装终端防护:安装反病毒软件;


2.加强SSH口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;


3.及时更新补丁:建议开启自动更新功能安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;


4.及时更新第三方应用补丁:建议及时更新第三方应用如Tomcat、WebLogic、JBoss、Redis、Hadoop和Apache Struts等应用程序补丁;


5.开启日志:开启关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;


6.主机加固:对系统进行渗透测试及安全加固;


7.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。



05
样本分析


5.1 Windows样本分析


5.1.1 lr.ps1


表5‑1 脚本文件

病毒名称

Trojan/Win32.Ymacco

原始文件名

lr.ps1

MD5

701EDFC11EE90B8A0D106B6FD98F5B42

文件大小

2.84KB(2,904字节)

解释语言

PowerShell

VT首次上传时间

2022-03-06 02:22:32

VT检测结果

12/59


删除现有Windows Management Instrumentation (WMI)类的实例,判断系统用户名中是否包含“SYSTEM”字符串,如果包含,使用PowerShell命令下载字符串,执行后续指令。


图5‑1 删除WMI类的实例


如果不包含“SYSTEM”字符串,创建名为“log4”的计划任务,每隔5分钟重复一次。结束竞品进程程序,下载开源门罗币挖矿程序XMRig和配置文件并执行。


图5‑2 下载挖矿程序


5.2  Linux样本分析


5.2.1 lr.sh


表5‑2 脚本文件

病毒名称

Trojan[Downloader]/Shell.Agent

原始文件名

lr.sh

MD5

E06704BCBED0CE2D7CADE20FA1D8A7B6

文件大小

2.09KB(2,138字节)

解释语言

Shell

VT首次上传时间

2022-03-05 22:26:41

VT检测结果

20/58


结束竞品挖矿进程。


图5‑3 结束竞品挖矿程序


创建计划任务,查询重要目录下的挖矿关键字符串等信息,如果则强制结束相关进程。


图5‑4 创建计划任务


下载挖矿程序和配置文件以及脚本文件并执行,最后删除脚本文件。


图5‑5 下载挖矿程序和配置文件


5.2.2  apache.sh


结束竞品程序,独占系统资源。


图5‑6 结束竞品进程



06
IoCs


IoCs

3EDCDE37DCECB1B5A70B727EA36521DE

701EDFC11EE90B8A0D106B6FD98F5B42

BF9CC5DF6A9FF24395BD10631369ACBF

D6E55C081CCABD81E5DE99ABFE9597F4

135276572F4C6A8B10BD31342997B458

E06704BCBED0CE2D7CADE20FA1D8A7B6

639825B85E02E6B9DFFCA50EE4DE9B6B

56BB7858F60C026DF6D48C32099EA2E7

14.55.65.217

14.55.65.199

91.121.140.167

pool.supportxmr.com:80

hxxp[:]//14.55.65.217:8080/a/x.exe

hxxp[:]//14.55.65.217:8080/a/lr.ps1

hxxp[:]//14.55.65.217:8080/a/config.json

hxxp[:]//14.55.65.217:8080/a/lrr.txt

hxxp[:]//14.55.65.217:8080/a/x.rar

hxxp[:]//14.55.65.217:8080/a/lr.sh

hxxp[:]//14.55.65.217:8080/a/apache.sh


本文作者:AntiyLab

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/180203.html

Tags:
评论  (0)
快来写下你的想法吧!

AntiyLab

文章数:75 积分: 225

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号